Le ransomware ? Ça payait mieux avant

Alors que l'année 2025 touche à sa fin, le paysage de la cyber-extorsion continuer d’évoluer, même si c’est plus subtil qu’entre la mi-2024 et la mi-2025.

Deux tendances marquent cette évolution, selon Coverware : d’une part, les attaques en masse contre les entreprises de taille moyenne, et, d’autre part, des intrusions plus ciblées visant de grandes entreprises. Exemple emblématique de cette dernière tendance : Cl0p, qui s’est une fois de plus illustré par l’exploitation d’une vulnérabilité inédite.

Mais en parallèle, les montants moyens et médians des rançons ont connu une baisse spectaculaire. Le paiement moyen s’établit à 376 941 dollars, soit une diminution de 66 % par rapport au trimestre précédent. Le montant médian chute à 140 000 dollars, également en baisse de 65 %. Cette dynamique reflète deux phénomènes : les grandes entreprises résistent davantage à payer, tandis que les cybercriminels se tournent vers des cibles plus petites, qui paient des montants bien moindres, mais avec un volume d’attaques plus élevé.

Face à la contraction de leurs marges, certains ont décidé de miser davantage sur l’ingénierie sociale, à l’image des ShinyHunters, les compromissions d’accès à distance et même la corruption d’employés, afin de contourner les systèmes de défense traditionnels. Pourtant, malgré ces stratégies, l’économie des rançons s’essouffle : que ce soit pour le chiffrement des données ou la simple menace de divulgation, les tentatives d’extorsion aboutissent de moins en moins. Selon Coveware, le taux de paiement des rançons a atteint le taux historiquement bas de 23 %.

Cette évolution témoigne d’une maturation croissante des victimes et de leurs prestataires. Laquelle aide à appliquer plus systématiquement les recommandations de non-paiement des rançons demandées.

L’activité est soutenue par l’automatisation et la démocratisation des outils d’attaque : intelligence artificielle, malwares prêts à l’emploi et les cleptogiciels (ou infostealers) facilitent l’entrée en scène d’acteurs peu techniques, tout en donnant plus d’ampleur et de sophistication aux attaques. Les identités restent la principale porte d’entrée, avec une hausse de 32 % des attaques par compromission de comptes sur le premier semestre, selon Microsoft.

Dans son dernier rapport Digital Defense, l’éditeur souligne que 52 % des incidents considérés visaient l’extorsion.  

Selon nos observations, même après le pic du premier trimestre 2025, le répit observé durant l’été n’a pas marqué une réelle diminution de la menace. En septembre, le nombre de cyberattaques avec ransomware est remonté, dépassant de près de trois fois le niveau observé un an plus tôt. Les groupes Akira, Qilin et Play comptent parmi les plus actifs.

Au niveau mondial, on compte plus de 500 revendications publiques d’attaques par ransomware chaque mois depuis octobre 2024, une tendance qui, confirme l’intensité et la résilience des cybercriminels.

Si la baisse du volume des rançons payées est un signe encourageant de maturation des victimes et d’efficacité accrue de leurs défenses, l’activité et la menace des cybercriminels demeurent à un niveau rarement égalé. De quoi renforcer encore l'asymétrie entre ce que coûte le ransomware à ses victimes et ce qu'il rapporte effectivement à ses opérateurs.